Azure Azure Security

Azure Sentinel & Bölüm2

Özgür CEBI
Written by Özgür CEBI

AI+ML+SIEM = Azure Sentinel & Bölüm 2 & Kaynakları Bağlama (Office 365)

Bu makaleye herkesin kullandığı, tanıdığı Office 365 hizmetini bağlayarak başlayalım.

Bunun için “ Data connectors” ile ilerleyip “Office 365 Connector” ayarlarını yapıyoruz.

Bu bağlantıyı sağlamak için Office 365 bağlayacağınız hesap “Global Admin” rolünde olması gerekiyor.

Azure Sentinel

“Add Tenant” ile gerekli bilgileri girip, aşağıda paylaştığım izinler için onay vermeniz gerekiyor.

Azure Sentinel

Bence buradaki en önemli nokta birden fazla Office 365 kiracı hesabını (tenant) ekleyebiliyorsunuz.

Böylece tek merkezden tüm aktivite kayıtlarını toplayıp analiz edebilirsiniz.

Sonraki seçenek ise hangi kayıtları toparlamak istediğinize göre belirleyeceğiniz sekme, Exchange ve Sharepoint kayıtlarını aktif edebilirsiniz.

Bu seçimi yaparken Exchange Online üzerinde “mailbox audit” konfigürasyonu kontrol etmenizi öneririm.

Bunun için Office 365 hizmetlerine PowerShell ile bağlanıp konfigürasyonu kontrol edip aktifleştirebiliriz.

Komutları aşağıda paylaştım.

 

Bu konfigurasyonu da doğruladıktan sonra artık Microsoft’un hazırladığı “dashboard” larını şecip kullanabiliyoruz.

Şu an için Office 365 hizmetleri özelinde 3 adet “Dashboard” bulunmakta;

Azure Sentinel

Her biri farklı aktivite ile ilgili görünüm ile hazırlandığından hepsini aktif ettim. Şu an için toplamda 26 çözüm aktif edebiliyorsunuz ve çok hızlı bir şekilde bu sayının artacağına emin olabilirisiniz.

Exchange Online görümüne gittiğimizde biraz önce yaptığımız yönetici aktivitesi olan “Audit Log” konfigürasyonun yansıdığını görmeniz gerekiyor.

Azure Sentinel

Bir sonraki makalede dataların toplandığı “Log Analytics workspace” ayarlarına ve sorgu diline göz atacağız.

Faydalı olması dileğimle…

Makale serisinin diğer yazıları:

Azure Sentinel & Bölüm1 

Azure Sentinel & Bölüm3

Azure Sentinel & Bölüm4

Yazar Hakkında

Özgür CEBI

Özgür CEBI